jsp源代碼安全審計價格常用解決方案「多面魔方」

銀行應用代碼審計方案

銀行是網(wǎng)絡攻擊的主要目標，企業(yè)也將信息安全作為其的關注點之一。近年來，銀行系統(tǒng)的安全事件不絕于耳。導致這些攻擊事件的主要根源是由于應用程序自身的漏洞，因此保障應用安全成了當前銀行業(yè)信息安全的工作重點。

銀行面臨的應用安全問題主要有以下幾個方面：

1、 應用數(shù)量龐大，實現(xiàn)全部安全測試并實時監(jiān)控的難度很大。

要想實現(xiàn)對所有的應用進行詳盡的安全測試，并在其版本更新時立即進行回歸測試，無論是人工測試還是利用傳統(tǒng)滲透測試工具及靜態(tài)代碼掃描工具都無法很好的達到目的。人工的方式太耗費人力。滲透測試工具依賴于人，且對于很多測試路徑無法達到。靜態(tài)工具誤報率高，掃描的效率低下。

2、 為了快速應對需求變更，金融行業(yè)軟件大量使用敏捷開發(fā)的模型，這使得安全代碼審核的工作量加大。

敏捷開發(fā)的模型的特點是快速迭代，頻繁的版本發(fā)布加大的安全代碼審核的工作量，人工審核的方式已無法全部覆蓋到。

3、 有大量項目是外包開發(fā)，其安全質(zhì)量無法把控。

外包團隊往往只注重對功能需求的完成，而不太顧及代碼質(zhì)量與安全問題。 企業(yè)沒有很好的方法在過程中加強安全質(zhì)理的管理。

對外包團開發(fā)的代碼進行安全審計是銀行保障應用安全的關鍵活動。SECZONE經(jīng)過多年的安全服務的積累，對于銀行外包代碼安全審計形成了包括培訓、S-SDLC流程、IAST技術組成的成熟解決方案。

1、應用安全培訓

2、S-SDLC軟件安全開發(fā)生命周期流程

3、利用IAST工具進行源碼審核

4、兼容敏捷開發(fā)模式

5、實現(xiàn)對外包團隊開發(fā)質(zhì)量的控制

代碼安全審計的兩種方式

1、人工審計

      人工審核是代碼審核的關鍵因素，也是準確和的解決方案。人工審核依托于技術人員的安全編碼經(jīng)驗、滲透測試經(jīng)驗以及新的知識庫，能夠有效的發(fā)現(xiàn)深層次的高風險安全漏洞，包括業(yè)務邏輯安全漏洞。在網(wǎng)上待測系統(tǒng)重要的業(yè)務場景中，很多高風險的安全漏洞都隱藏的比較深，只有通過經(jīng)驗豐富的安全人員進行人工審計才能發(fā)現(xiàn)相關的問題。同時，在人工審核的的過程中實施人員在集中發(fā)現(xiàn)安全缺陷的同時也會關注目標系統(tǒng)的合規(guī)性問題。通過對目標系統(tǒng)的源代碼進行人工審核，可以有效的降低安全風險，提高系統(tǒng)安全性、健壯性和合規(guī)性。在開發(fā)階段就發(fā)現(xiàn)安全問題，而不是將安全問題帶入生產(chǎn)系統(tǒng)后才被發(fā)現(xiàn)并解決，課余有效的控制系統(tǒng)的研發(fā)成本。

2、自動化審計

      采用自動化的代碼審計工具輔助審核，依賴于自動化工具的強大的安全編碼規(guī)則集。能夠快速的對常規(guī)的安全漏洞進行發(fā)現(xiàn)和定位，有助于提高代碼審計的工作效率和覆蓋度，是一種常用的輔助手段。

手工代碼審計的優(yōu)缺點

優(yōu)點

? 能夠深入研究代碼路徑，檢查設計和體系結構中的邏輯錯誤和缺陷，大多數(shù)自動化工具都無法找到這些錯誤和缺陷

? 與一些自動化工具相比，手動檢測授權、身份驗證和數(shù)據(jù)驗證等安全問題的效果更好

? 對于值的應用程序，總是有額外的利用空間(需要經(jīng)過培訓的)

? 查看其他人的代碼是共享安全代碼和AppSec知識的好方法

缺點

? 要求精通應用程序中使用的語言和框架，并需要對安全性有深入的理解

? 不同的評審人員將生成不同的報告，從而導致評審人員之間的結果不一致——盡管同行評審可以是一個修復方法

? 測試和編寫報告是及時的，并且經(jīng)常需要開發(fā)人員參加有時很長時間的訪談會議，以便為審查人員提供上下文，這消耗了開發(fā)人員的時間和資源

? 對代碼行數(shù)超過10-15k的應用程序的手動審查于針對高風險功能